DMZ

Üdv!

Következő a setup:

R1 router kapcsolódik a netre, R2 router LAN-on kapcsolódik R1-re, C1 és C2 IP kamerák WIFI-n kapcsolódnak R2-re.

C1 80-as porton nézhető böngészőből, míg C2 554-esen pl VLC-vel rtsp folyamként.

Sajnos mindkét kamerát csak úgy tudtam működésre bírni, ha az IP-jét DMZ-re állítottam. Azaz R1-en beállítottam R2 IP-jét DMZ-re. Továbbá a 80-as és 554-es portot forwardoltam R2 IP-jére.

R2-n szintén beáálítottam a 80-as és 554-es portforwardot C1 ill. C2 IP-jére, de sajnos csak akkor működik az elérés, ha R2-n is bállítom a DMZ-t vagy C1 vagy C2 IP-jére.

Ezek alapján hogyan lehetne egyszerűen megoldani, hogy mindkét kamera elérhető legyen netről?

Egy megoldást találtam, de körülményes:

R2-nek engedélyeztem a távoli belépést 88-as portra, amit pedig R1-en forwardoltam R2-re, így netről hozzáférek R2 webes adminfelületére, ahol a DMZ IP címet tudom módosítani, így lehet váltogatni C1 és C2 között. Nekem viszont valami statikusan működő megoldás kellene pl. DMZ tartomány, ha létezik ilyen.

Hozzászólások

Szerkesztve: 2019. 11. 07., cs - 09:56

Én port forward-dal oldottam meg. Nálam a kamera az 554-es porton ad rtsp-t, a 88-as porton meg cgi parancsokat fogad... a routerben (dd-wrt) a dhcp-nél fix ip-t kapott, 192.168.1.51

Application    Protocol    Source Net    Port from    IP Address    Port to    Enable

FOS01_rtsp      both         0.0.0.0/0   11554           192.168.1.51      554        *

FOS01_cgi        both        0.0.0.0/0    11088           192.168.1.51       88         *

FOS02_rtsp      both         0.0.0.0/0   12554           192.168.1.52      554        *

FOS02_cgi        both        0.0.0.0/0    12088           192.168.1.52       88         *

elérni kintről meg úgy tudom hogy:

ffplay rtsp://user:password@123.45.67.89:11554/videoMain

w3m "http://123.45.67.89:11088/cgi-bin/CGIProxy.fcgi?cmd=ptzMoveUp&usr=username&pwd=password

A két router hogy van nálad összekötve? Az R1 hálózatát bőviti az R2, vagy az R2 csinál alhálót?

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

R2 alhálót csinál. Azért állítottam be így, mert R1-et nem lehet távolról menedzselni (Huawei E-valamilyen mobil router, fejből nem tudom), nem találtam remote management funkciót illetve engedélyezhetőséget, míg R2 az D-Link DIR-605L, aminek jól használható a távfelügyelete.

Ha az R1 tud port-forwardolni, akkor azon pl. :

Application    Protocol    Source Net    Port from    IP Address    Port to    Enable

FOS01_rtsp_R1      both         0.0.0.0/0   21554           R2.ip.cime.amit_R1_adneki      11554        *

FOS01_cgi_R1        both        0.0.0.0/0    21088           R2.ip.cime.amit_R1_adneki       11088         *

FOS02_rtsp_R1      both         0.0.0.0/0   22554           R2.ip.cime.amit_R1_adneki      22554        *

FOS02_cgi_R1        both        0.0.0.0/0    22088           R2.ip.cime.amit_R1_adneki       12088         *

 

... mondjuk, van egy olyan sejtésem, hogy a Huawei kacat nem tud ilyet.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

Szerkesztve: 2019. 11. 07., cs - 11:12

Amit csinálsz azt dupla NAT-nak hívják és kerülendő. Érdemesebb R2-őt AP módban használni. Ha maga az eszköz ezt nem támogatja a webes felületén, akkor ki kell kapcsolni benne a DHCP szervert, IP címét LAN-on az R1 hálózatába tenni (azt pedig R1-en rezerválni vagy DHCP poolon kívül tenni, de azonos alhálózatba). Így menedzselhető marad R2. Ekkor pedig R1 LAN portját össze kell kötni R2 LAN portjával.

Egyébként a hibád nem ebből adódik. Javaslom mindkét kamerában állítsd át a portokat magasra (ne legyen egyszerűen szkennelhető). C1-en: 30080 és 30554, C2-őn 30081 és 30555. Ezután port forward ezekre a portokra (tehát erre a 4-re) először R1-en R2 IP-re. Utána R2-őn 30080 és 30554 C1 IP-re, míg 30081 és 30555 C2 IP-re. (persze ha nem raktad AP módba R2-őt, mert ha igen, akkor csak a második részt kell megcsinálnod és csak R1-en).

Ezután kívülről http://IP:30080 és http://IP:30081-en éred el böngészőből. RTSP-nél meg úgyis meg lehet adni VLC-ben a portot.

Lehet úgyis csinálni, hogy magukban az eszközökben nem változtatsz portot, hanem a routerben adsz meg más külső portot a belső porthoz. Azonban ezt sem ajánlom, mert van hogy az eszközök sértik a rétegezés elvét és más portjára próbál csatlakozni. (például ActiveX az eszköz RTSP portjára, ami ha más kívülről, mint belülről, akkor megszívta).

DMZ-t ha lehet soha nem használunk. Főleg kínai eszközöknél nem, ahol általában nyitott telnet van publikusan elérhető jelszóval. Még a web port továbbítása is veszélyes kínai eszközöknél a sok backdoor és bug miatt, ezért ha pénztárca engedi én mindig VPN-t ajánlok. 

C1-nek (D-Link DCS-8200LH) nincs semmilyen admin felülete, sajnos erre vásárlás után kellett rájönnöm. Hála a D-link Supportnak azt sikerült kideríteni, hogy specifikációtól eltérően rtsp az megy rajta. De csak a standard porton, így ezt megváltoztatni nem tudom. És C1 IP-jét sem tudom fixálni, legfeljebb úgy, ha MAC-hez társítom. De sajnos R1-en nincs MAC társítási lehetőség. Annyi van csupán, hogy szerencsére nem nagyon változnak a DHCP-vel kiosztott címek R1-en.

A custom portokkal pedig más gondom lesz. Munkahelyről szeretném elérni az otthoni kamarátak, a munkahelyi háló viszon agyon van korlátozva. Pl. az 554-es port az tiltólistás, így erre még találnom kell valamilyen megoldást. ("a routerben adsz meg más külső portot a belső porthoz" - ez lenne a port triggering?)

Azért a dupla NAT-ot megpróbálom megszüntetni a fenti módon, hátha az segít valamit.

R1: Huawei E5186s-22a, hw: CL1E5175HM, sw: 21.316.01.00.00, web UI ver.: 16.100.02.00.03

R2: D-Link DIR-605L hw: Ax, sw: 1.12

C1: D-Link DCS-8200LH, hw: A1, sw: 1.02 build 3

C2: D-Link DCS-932LB, hw: rev. B, sw: 2.18.01

Internet: Ephone, sebesség a R1 mellett 2,4G-s wifin speedtesttel mérve jellemzően: 30/40 Mbps (U/D)

Asus UX32A latopom van, nincs benne LAN.

Itt láthatod:
https://setuprouter.com/router/huawei/e5186s-22a/virtual-server-74193-large.htm
https://www.manualslib.com/manual/399626/D-Link-Dir-605l.html?page=36#manual
WAN port / public port a külső port
LAN port / private port a belső port

Kamerákat R2-őn DHCP reservation-be:
https://www.manualslib.com/manual/399626/D-Link-Dir-605l.html?page=33#manual

Ha nem tudod állítani a portokat a kamerákon, akkor egyszerűen R2-őn public porthoz mást írj!
Tehát R2-őn:
C1 IP-re public: 30080 private: 80, public 30554, private: 554.
C2 IP-re public: 30081 private: 80, public 30555, private: 554.
R1-en pedig:
R2 IP-re public: 30080 private: 30080, public: 30081 private: 30081, public: 30554 private: 30554, public: 30555 private: 30555,

Ahhoz hogy R2 IP-je ne változzon, állíts be WAN portjára statikus IP címet (legyen R1 DHCP poolján kívül, de ugyanabban az alhálózatban), ahol az átjáró R1.
(ugye ezt azért, mert R1-ben nincs DHCP reservation)

Ha szerencséd van, akkor a vállalati tűzfalatok ezeket a 30000 feletti (nem well known) portokat nem tiltja.  

Egyébként hogy találsz haza, valamilyen dinamikus DNS-t használsz?

"Egyébként hogy találsz haza, valamilyen dinamikus DNS-t használsz?"

Per pill úgy, hogy szerencsére elég ritkán változik R1 publikus IP-je.

Illetve, C2-höz jár un. dlinkddns szolgáltatás, mely működik  C1-en és R2-n is. Jelenlegi setup szerint természetesen nem megyek vele semmire, de kipróbáltam: ha C2 R1-en van, akkor szépen frissül a DDNS.

Megkíséreltem beállítani a fentieket. Vegyes a siker.

R1 poolján kívül tettem R2 WAN IP-jét. Majd valószínűleg elnyomtam valamit, mert eztán R2 WAN IP-jét már nem lehetett megváltoztatni, csak a factory reset segített. Eztán a dupla natolást megtartottam, mondván előbb úgy érjek el valamit.

Factory reset után jött a felismerés, hogy R2 port forwarding menüjében hiába állítottam be a portokat, a sor elején nem jelöltem be a checkboxokat. Láma hiba tudom. Helyes beállítás óta már nincs szükség DMZ-re egyik routeren sem.

Jelenlegi konfig a holnapi munkahelyi eléréshez:

R1-re R2 LAN-on utóbbi WAN portjára csatlakozik (R2 WAN IP: 192.168.8.100). C2 R1-hez, C1 R2-höz kapcsolódik wifin, így C2-n jól működik a DDNS.

R1-en port forward
Name WAN port LAN IP LAN port Protocol Status
C1_30080 30080 192.168.8.100 30080 TCP/UDP On
C1_30554 30554 192.168.8.100 30554 TCP/UDP On
C2_80 80 192.168.8.201 80 TCP/UDP On
R2_88 88 192.168.8.100 88 TCP/UDP On

 

R2-őn port forward

Name LAN IP Public Privat Type
C1_80 192.168.0.101 30080 80 any
C1_554 192.168.0.101 30554 554 any

R2-n C1 MAC társítással kap fix IP-t, R1-en C2 statiks IP-re, poolon kívülre van állítva. R2 szerencsére (látszólag) mindig ugyanazt az IP-t kapja R1-től, így egyenlőre ezt a részt nem piszkáltam.

Telefonom külső hálozatáról kipróbálva így böngészőből elérem R2 és C2 webes felületét, C2 MJPG stream-jét, illetve C1 RTSP-jét is. Holnap kiderül, hogy mi a helyzet a céges háló felől nézve.

Egy apró, ám szinte jelentéktelen negatívum: mivel C1 RTSP portja kívülről nem szabvány, így C1 hivatalos applikációján nem elérhető a kamera. Viszont telefonon, VLC-ről ez megoldható, így működik a stream, így a gagyi, feltehetően kevésbé secure appra nincs is szükség.

UPDATE: működik az app is a custom port forward ellenére. Valahogy megtanulta.